Avenger
Lukáš Kosno | Přečtěno: 1244x | Rubrika: Návody | Kategorie: UtilityAplikáciu doporučujeme používať len na výzvu odborníka, ktorý si je vedomí následkov, ktoré táto aplikácia môže spôsobiť.
Avenger je odstraňovač ťažko odstrániteľných súborov, kľúčov alebo hodnôt z Registry a ovládačov založený na kernelovskom ovládači Windows. Je možné ho aplikovať na operačných systémoch 32-bit Windows Vista, XP a 2000 pod administrátorským účtom.
Postup
- zadáte skript – počítač sa reštartuje a vykonajú sa zadané príkazy – vygeneruje sa log
Spôsoby zadania skriptu
- napíšete do bieleho poľa – načítate ho z textového súboru (kódovanie ANSI) – načítate z internetu – prekopírujete do bieleho poľa
Sken na prítomnosť rootkitov
- zaškrtnite voľbu “Scan for rootkit” (štandardne zapnutá) – môžete povoliť automatickú likvidáciu nájdených rootkitov
Postup a základné informácie
- kliknite na “Execute” a proces ihneď začne – zálohy budú vytvorené v adresári C:\Avenger (ak je C systémový disk) – súbory sú zabalené v ZIP archíve s heslom “infected” – názov archívu je “backup.zip” – záloha položiek z Registry je obsiahnutá vo vnútri archívu v súbore “backup.reg”. Obnovíte ju dvojitým kliknutím na súbor. – v archíve je takisto log súbor “avenger.txt”. Log je možné skontrolovať aj cez menu (File -> Open log file). Nachádza sa v adresári C:\avenger.txt (ak je C systémový disk). Nie je zmazaný až do ďalšieho použitia utility.
Zadávanie skriptu
- každý príkaz zadávajte do samostatného riadku a ukončite ho dvojbodkou “:” – každý súbor/adresár/ovládač/kľúč…zadávajte do samostatného riadku – prázdne riadky sú ignorované
Príkazy
Files to delete:
- zmaže vybrané súbory
Files to delete:
C:\Windows\system32\%badfile%
Files to replace with dummy:
- zmaže vybrané súbory pomocou dummy (fiktívneho) súbora
Files to replace with dummy:
C:\Windows\system32\%badfile%
Files to move:
- premiestni vybrané súbory, je možná zmena mena súboru – nie je možné premiestniť súbor z disku na disk
Files to move:
C:\Documents and Settings\%username%\Plocha\%somefile% | C:\%somefile%
Folders to delete:
- zmaže vybrané adresáre
Folders to delete:
C:\Documents and Settings\%username%\Local Settings\Temp\%badfolder%
Registry keys to delete:
- zmaže vybrané kľúče Registry z vetvy HKLM – nepoužívajte pre mazanie kľúčov z HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services – je možné použiť definovanú skratku, namiesto HKEY_LOCAL_MACHINE zadáte HKLM
Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\%badkey%
Registry keys to replace with dummy: – zmaže vybrané kľúče Registry z vetvy HKLM s použitím dummy (fiktívneho) kľúča – kľúč vyčistí, ale bude zanechaný ako pred spred infekcie
Registry keys to replace withh dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\%badkey%
Registry values to delete:
- zmaže vybrané hodnoty Registry z vetvy HKLM
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | %badvalue%
Registry values to replace with dummy: – zmaže vybrané hodnoty Registry z vetvy HKLM s použitím dummy (fiktívnej) hodnoty – vyčistí hodnotu, ale zostane na pôvodnom mieste – požite pri hodnotách, ktoré by po zmazaní spôsobili poškodenie operačného systému
Registry values to replace with dummy:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows | AppInit_DLLs
Programs to launch on reboot:
- vytvorí zoznam akcií, ktoré budú vykonané hneď ako bude možné, napríklad získa prístup k HKCU
Programs to launch on reebot:
C:\Windows\system32\%badfile%
Drivers to delete:
- zmaže ovládač/službu z HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services – neodstráni súbor fyzicky, preto použie po zmazaní ovládača/služby príkaz Files to delete: – zadávajte meno ovládača alebo služby, nie meno súbora! – aplikovanie tejto funkcie môže vážne poškodiť operačný systém
Drivers to delete:
%baddriver%
Drivers to disable:
- nastaví ovládač/službu na vypnutý
Drivers to disable:
%baddriver%
badfile, badkey, somefile, badvalue sú premenné
Podělte se s ostaními:
Podobné články:
